Ihre Datenspuren im Internet

Inhaltsübersicht

• Spuren beim Webmaster / Website-Betreiber
• Spezialfall Suchmaschinen
• Geolocation Dienste
• Cookies, Flash Cookies, Webpixel, (Google-)Analytics, Fingerprints und andere Tracking Tools
• Spuren beim Internet-Provider
• Behavioral Targetting beim Internet-Provider
• Spuren auf dem Rechner des Internetnutzers
• Eigenhändig erzeugte Spuren und Reputation Management
• Vorsicht bei Nick-Names
• Software-as-a-Service
• Schutzmöglichkeiten gegen Tracking
• Weiterführende Informationen

 

(Stand August 2010)

Anlass für diesen Artikel ist eine andere Website. Dort berichtete jemand, dass ihm aufgefallen ist, dass jemand mit der IP-Adresse einer sehr katholischen Einrichtung auf seine Website gekommen ist, und zwar 'über Google-Image-Suche als Referrer mit den Suchbegriffen "gay, dreams" oder "usa, gay"'. Und das hat den Autor des Blogs verblüfft. Ebenso verblüfft wäre aber bestimmt auch der betroffene Internetnutzer, was da so alles im Internet über ihn offen gelegt wird.

[Natürlich spricht überhaupt nichts dagegen, dass Mitarbeiter einer katholischen Organisation homosexuelle Interessen haben, auch wenn ihr großer und viele ihrer kleineren Chefs heftig gegen so etwas wettern, dafür kann der Mitarbeiter ja wohl nichts (niemand ist für das Verhalten seiner Chefs verantwortlich)].

Das war für mich der Anlass, den technischen Hintergrund dieser Geschichte zu erläutern und einmal ganz systematisch zusammenzustellen, welche Spuren beim Surfen im Internet so alles hinterlassen werden.

Worum geht es eigentlich beim Tracking von Anwendern im Internet?

Häufiges Ziel der Sammlung und Auswertung der Daten die bei der Nutzung des Internets hinterlassen werden ist das Erstellen von Interent-Nutzungs-Profilen. Die Techniken die dafür verwendet werden laufen unter dem Namen Data Mining. Solche Profile können nicht nur dafür verwendet werden, Werbung gezielt zu platzieren (was man ja erst mal noch nicht als schlimm ansehen muss), sie können für Diskriminierung eingesetzt werden. D.h. jemand der durch die Auswertung seines Internet-Nutzungsverhaltens als jemand erkannt wurde, bei dem Geld "vergleichsweise locker sitzt", der bekommt bestimmte Sonderangebote gar nicht erst angezeigt (discriminatory prizing). Amazon hat vor einigen Jahren angeblich in diese Richtung experimentiert und nach Protesten von Nutzern diese Aktivitäten wieder aufgegeben.

Eine weitere Gefahr solcher Nutzerprofile ist, dass einer bestimmten Bevölkerungsgruppe bestimmte Informationen vorenthalten werden. Zusätzlich lassen sich Daten die Benutzer im Netz hinterlassen, auch für kriminelle Zwecke einsetzen, z.B. für Erpressungen, oder auch zur Unterstützung anderer krimineller Aktivitäten, wenn z.B. Abwesenheitsnachrichten auf Twitter oder im Social Networking für die Planung von Einbrüchen eingesetzt werden (please rob me.com). Doch nun erst mal dazu, wie und wo diese Daten als Grundlage für Benutzer-Profile überhaupt entstehen.

August 2010: die Studie des Wallstreet Journals

Wie das Wallstreet Journal (WSJ) in einer sehr gründlichen Studie The Web's New Gold Mine: Your Secrets darlegt, erlauben die heute angebotenen Technologien es Unternehmen die mehr über ihre Website-Besucher wissen möchten eine ziemlich genaue Einschätzung. Dadurch können sie z.B. Anzeigen nicht nur dort platzieren, wo sie hoffen, dass die gewünschte Zielgruppe diese sieht, sondern die Werbeeinschaltungen ganz gezielt auf jeden einzelnen Betrachter zuzuschneiden. D.h. wenn heute 2 Anwender auf eine Website gehen, so sehen sie mit einer sehr hohen Wahrschneinlichkeit dort unterschiedliche Werbung. Und wenn die Werbung dann überraschend nahe an den Interessen der Betrachter liegt, sie ist das alles andere als ein Zufall.

Das Wallstreet Journal hat einen Spezialisten gebeten, mit einem spezell präparierten PC die 50 meistbesuchtesten Website zu besuchen (diese 50 Websites repräsentieren 40% der Internetnet-Nutzung des Durchschnittsamerikaners). Der PC hatte danach 3180 Tracking-Objekte (Cookies und anderes, siehe der Rest des Artikels). Mehr als 2/3 davon wurden von 131 Werbe-Unternehmen dort platziert um möglichst viele Details über das Wünsche, Bedürfnisse und Interessen der Besucher zu erfahren und möglichst detaillierte Profile zu erstellen. Diese Profile ergeben sich aus der Tatsache, dass jede dieser Unternehmen versucht, den gleichen Benutzer auf vielen verschiedenen Websiten zu finden. Und auf jeder dieser Webseiten wird notiert, welche Themen dort behandelt werden.

Wer also z.B. auf dictionary.com etwas über eine bestimmte Krankheit nachliest, dann in der Zeitung über einen bestimmten Künstler oder über eine Klasse von Autos, über Bücher, Filme, etc., so wird aus diesem Rohdaten, unter Nutzung der Ortsbestimmung über die IP-Adresse (siehe weiter unten) und den Daten der statistischen Ämter über typische Einkommensverteilungen an diesen Orten ein recht detailliertes Profil zusammengestellt. Auch können die Profile der Kontakte dieser Person in Social Networks zur Profilierung genutzt werden ("gleich und gleich gesellt sich gern"). Dieses Benutzerprofil hat natürlich keine Garantie auf Korrektheit, aber es liegt in der Beschreibung der Person in aller Regel deutlich besser als eine zufällige Platzierung von Werbung.

"From a single click on a web site, [x+1] correctly identified Carrie Isaac as a young Colorado Springs parent who lives on about $50,000 a year, shops at Wal-Mart and rents kids' videos. The company deduced that Paul Boulifard, a Nashville architect, is childless, likes to travel and buys used cars. And [x+1] determined that Thomas Burney, a Colorado building contractor, is a skier with a college degree and looks like he has good credit." . . . "[They] know that her favorite movies include "The Princess Bride," "50 First Dates" and "10 Things I Hate About You." It knows she enjoys the "Sex and the City" series. It knows she browses entertainment news and likes to take quizzes."

Die Werbefirmen sagen, dadurch dass sie die Interessen der Besucher kennen wird aus der Werbung wertvolle Information. Ganz so einfach ist es jedoch nicht, siehe hier:

"Yahoo's network knows many things about recent high-school graduate Cate Reid. One is that she is a 13- to 18-year-old female interested in weight loss. ... Yahoo's take on Ms. Reid, who was 17 years old at the time, hit the mark: She was, in fact, worried that she may be 15 pounds too heavy for her 5-foot, 6-inch frame. She says she often does online research about weight loss. "Every time I go on the Internet," she says, she sees weight-loss ads. "I'm self-conscious about my weight," says Ms. Reid, whose father asked that her hometown not be given. "I try not to think about it…. Then [the ads] make me start thinking about it."

Und an dieser Stelle wird es dann unangenehm. Heute wird es immer mehr üblich, auch krankheitsbezogene Informationen in die Profile aufzunehmen. Einige der Tracking-Firmen behaupten, dass sie Interesse an Stichworten wie HIV/AIDS, Geschlechtskrankheiten, Ess-Störungen und Impotenz nicht tracken. Trotzdem werden Diät-Anzeigen gezielt auch Minderjährigen gezeigt, die entsprechende Interessen zu haben scheinen. Die Website dictionary.com, die in den USA oft für Recherchen benutzt wird, erlaubt es 41 verschiedenen Firmen, die Suchprofile ihrer Anwender auszuwerten (wikipedia kam bei diesem Test als "sauber" rüber), auch meriam-webster.com ist nicht viel besser. Google hat schon vor Jahren einen der Marktführer beim Tracking gekauft, doubleclick.com.

Jemanden der an Anorexie leidet ständig mit Diät-Anzeigen zu bombardieren, fällt für mich deutlich unter un-ehtisches Verhalten. Was mich beunruhigt ist, dass der Rest der Gesellschaft dieses Bombardement gar nicht sieht, auf den gleichen Websites sehen die anderen Benutzer vergleichsweise harmlose Werbung.

Aber es wird über diese Nutzerprofile nicht nur entschieden, welche Werbung ein Anwender sieht. Unternehmen die Kreditkarten anbieten nutzen diese Profile um zu entscheiden, welche der verschiedenen Angebote diesem potentiellen Kunden gezeigt werden, genaus Besucher auf Websites auf denen Autos verkauft werden. Das ist soweit noch OK, solange den Kunden das Gesamtangebot trotzdem zur Verfügung steht. Theoretisch möglich (und nur schwer beweisbar wenn es stattfindet) ist auch eine differenzierte Behandlung, z.B. Ablehnung eines Kredits weil die IP-Adresse des Besuchers auf eine Gegend deutet, die zu den schlechteren Gegenden einer Stadt gehört oder weil die meisten der Kontakte dieser Person in Social Networks wie Facebook einer ärmeren Gesellschaftsschicht zugeordnet wurden.

Was das WSJ darstellt ist ein eng verwobenes Netz von Firmen (Tracking Ecosystem), die verschiedene Rollen bei dieser Erstellung und Nutzung von Benutzerprofilen spielen. Das kann dann z.B. so ablaufen: Da gibt es die Firmen, die die Cookies und andere Tracking-Instrumente auf den Webseiten platzieren lassen. Diese Rohdaten werden dann mit anderen Informationen, z.B. Statistikdaten zum Wohnort zusammengeführt und das so erstellte Profil wird dann über "data exchanges" verkauft (bzw. innerhalb von Bruchteilen von Sekunden automatisiert versteigert). Das muss man sich so vorstellen, dass eben ein Benutzer auf einer Website eine seltene Krankheit recherchiert hat, deren Behandlung sehr teuer ist, oder die sehr oft berufsbedingt ist. Die Tracking-Firma bietet den Kontakt zu dieser virtuellen Person (virtuell, weil weder Name noch Anschrift oder ähnliches bekannt ist) an. Dafür interessieren sich Anwaltsfirmen (die dann eine Klage gegen den Arbeitgeber anbieten), Arzneimittelfirmen und Gesundheitsdienstanbieter. (Die Liste der in der Network Advertising Initiative zusammengeschlossenen Anbieter findet sich hier, zusammen mit jeweils Opt-Out Möglichkeiten. Aber weiter unten beschreibe ich alternative Optionen gegen das Tracking.

Wer nun entsprechend Geld zahlt, dem wird übermittelt, wie dieser Benutzer mit diesem Profil an Hand seines Cookies erkannt werden kann, wenn er oder sie auf einer anderen Website auftaucht, die von der gleichen Tracking-Firma betreut wird. Und in dort wird dann eine gezielte Werbung geschaltet, die konkret auf die Krankheit des Nutzers eingeht. Das ganze ist letztendlich mehr oder weniger anonym. Der Name des Nutzers und die genaue Adresse werden nicht übermittelt, könnten aber mit etwas Mühe in vielen Fällen ermittelt werden. Siehe dazu meine anderen Artikel zu Data Mining und Anonymität.

Mit so einem 2-D Code kann das gesamte persönliche Profil in einem Rabatt-Coupon verborgen sein und dem Laden übermittelt werden - Quelle: Wikimedia

Die NY Times berichtet dazu ebenfalls im August, dass sich diese Techniken ja nicht auf das Internet beschränken müssen. So testet I.B.M ein System nahmens Presence, bei dem einem Kunden beim Betreten eines Geschäfts ein "coupon" auf das Handy gesendet wird. Dieser elektronische Coupon enthält das Profil des Benutzers, z.B. codiert in einem 2-D Barcode. Und da kann neben dem Wohnort und dem vermuteten Gehalt und Beziehungsstatus z.B. auch drinstehen, was der Kunde mit der höchsten Wahrscheinlichkeit in diesem Laden kaufen wird (weil die Tracking-Firma weiß, was der gleiche Kunde gestern in Google gesucht hat).

Spuren beim Webmaster / Website-Betreiber

Irgendwo muss ich anfangen, also warum nicht gleich mit der obigen Geschichte. Wenn jemand eine Website betreibt (wie z.B. ich und der oben erwähnte Blogger), dann protokolliert der Webserver, d.h. die Software auf dem Rechner der unter der Adresse 'sicherheitskultur.at' erreicht wird, jeden Zugriff von außen. Die Daten sind u.a.: Datum und Uhrzeit, IP-Adresse des Surfers, welche Seite oder welche Graphik aufgerufen wurde, ob dies gelungen ist (es könnte ja auch eine Tippfehler im Aufruf sein), aber auch ob der Aufruf von einer anderen Website kommt, z.B. von Google oder einer anderen Suchmaschine. Das ist für den Webmaster interessant, er sieht dann, wieviel Traffic/Verkehr von jeder der Suchmaschinen kommen. Google ist sogar noch netter, sie melden sogar, welchen Suchbegriff der Surfer eingegeben hat. Und da kommen oft sehr interessante, oft lustige Sachen raus. Das ist der Hintergrund der obigen Geschichte. Vermeiden kann der Surfer dies, indem er in der Auflistung der Fundstellen nicht einfach auf den fettgedruckten Titel klickt, sondern über Copy und Paste die URL selbst (die Internet-Adresse) übernimmt und selbst in ein anderes Browserfenster einträgt. Jetzt bekommt der Webmaster immer noch die IP-Adresse seines Gasts, aber er weiß nicht mehr, von welcher anderen Website dieser gerade kam (referrer).

Die IP-Adresse

Auf jeden Fall hat aber der Webmaster die IP-Adresse. Mittels des Whois Systems oder hier über die IKS GmbH kann der Webmaster dann herausfinden, wer diesen bestimmten Block von IP-Adressen angemeldet hat. (Was er damit über Sie lernt, das finden Sie heraus, wenn Sie diese Anfrage mit Ihrer eigenen IP-Adresse durchführen. Wie sie diese finden, steht etwas weiter unten. Und hier finden Sie weitere DNS- und IP-Abfragemöglichkeiten - DNS = Domain Name System, die Verwaltung der "lesbaren" Adressen im Internet wie "hotmail.com").

Auf diese Weise kommt der oben erwähnte Webmaster zum o.g. katholischen Arbeitgeber. Den einzelnen Computer dort kann er nicht identifizieren, denn ziemlich sicher stehen diese alle hinter einer Firewall, die mit einer einzigen IP-Adresse im Internet kommuniziert. Trotzdem ließe sich der einzelne Computer identifizieren, denn der Firewall schreibt eine sog. Logdatei (ein Protokoll) und dort steht, welcher der internen Computer im welche Uhrzeit auf welche Internet-Adresse zugegriffen hat. Dies gilt für alle Firmen, d.h. der Administrator im Unternehmen kann durch Einsicht in den Logfile sehen, wer auf welche Website geht - er kann, darf aber (eigentlich) nicht, die Details sollte eine entsprechende Betriebsvereinbarung regeln (existiert aber sehr oft nicht).

Auch Ihr Computer hat eine (im Falle einer Modem-Einwahl oder bei xDSL zumeist nur tempopräre) IP-Adresse. Diese wird zum Webserver durchgereicht und dort protokolliert. Wenn der Webmaster nachforscht, so kommt er über Whois nur bis zum Internet-Provider. Legal kommt man dort nicht weiter, außer man hat einen richterlichen Beschluss, dann schaut der Provider im Log nach (in dem vermerkt ist, wer wann mit welcher IP-Adresse aktiv war) und gibt den Namen und die Anschrift das Kunden raus. Wer von der Uni aus surft, bei dem ist es wie in einer Firma: im Firewall oder im Proxy Log wird eine entsprechende Zuordnung zum Benutzernamen oder zum genutzten PC gemacht. Auch das ist nachvollziehbar. Wer im Internet-Café surft, bei dem enden die Nachforschungen dann dort. Manchmal nutzen die jedoch Webcams und zeichnen auf, wer wann an welchem PC gesessen hat.

Stimmt nicht mehr ! (siehe Link hier, New Yorker, 1993)

Für die Experten:
Wie kann ich mich gegen die Preisgabe der IP-Adresse schützen?
Dies geschieht durch Nutzung eines Anonymizers wie AN.ON oder TOR. Die Installation ist recht einfach und auch für den Laien machbar. Erreicht wird dabei aber keine Vertraulichkeit der Daten, sondern nur eine Verschleierung der IP-Adresse. Dies wird 2007 sehr deutlich offen gelegt, indem jemand mittels TOR Passworte ausgespäht hat, was wohl ein beliebter "Sport für Geheimdienste ist". Daher sollte nach Aussage von Experten lieber AN.ON genutzt werden.

Anonymisierung verhindert nicht, dass die Daten selbst auf dem Weg durchs Internet ausgelesen werden können (einschließlich z.B. unverschlüsselter Passworte) sondern verschleiert nur die IP-Adresse. Um die Inhalte der Übertragungen zu schützen müssen die Daten verschlüsselt übertragen werden, z.B. durch die Nutzung des Protokolls https statt des normalen http, sofern der Webserver diesen Verschlüsselungsservice nutzt), was aber trotzdem ein Auslesen der beiden IP-Adressen von Sender und Empfänger preis gibt, die sog. Verkehrsdaten (mehr dazu später). Für den vertraulichen Austausch von Dateien oder E-Mails (die auch beim Provider nicht gelesen werden können) empfiehlt sich z.B. PGP.

Anonymisierung verhindert überigens auch nicht, dass Betreiber von Websites durch die Nutzung von Cookies oder Webpixels oder über einen Dienst wie Google Analytics Benutzerprofile anlegen können (siehe unten).

So ein Anonymisierungsservice wäre ideal für Musik-Downloader, weil diese zumeist über ihre IP-Adresse identifiziert werden, aber leider verlangsamt solch ein Service den Datenaustausch erheblich und damit vergeht die Freude am Austausch großer Datenmengen wie raubkopierten Filmen.

Wie finde ich heraus, unter welcher IP-Adresse ich eigentlich im Netz aufscheine?
Die IP-Adresse, die ich über "Eigenschaften" bei den Netzwerkeinstellungen finde oder die mir "ipconfig" im Command-Fenster gibt, ist nicht immer meine externe Adresse, z.B. wenn ich hinter einem externen Fiewall bin, z.B. als Teil meiner WLAN-Installation. Ein einfacher Weg um die wirkliche externe Adresse zu finden ist die Nutzung dieses Services security-check.ch (weiter zum Quick-Scan, dort wird die Adresse angezeigt) oder im Sicherheitscheck von Symantec. Die so gefundene Adresse (im Format xxx.xxx.xxx.xxx) kann man dann in die diversen, hier beschriebenen Tools einsetzen. Noch einfacher ist natürlich wenn Sie einfach ein wenig tiefer schauen, dort wird ihre IP-Adresse und ihr Wohnort angezeigt.

Nutzungsstatistiken

Eine typische Zusammenfassung von Zugriffsstatistiken

Die Daten die routinemäßig beim Betreiber einer Website anfallen enthalten aber noch mehr Informationen. Da ist z.B. der Referrer, d.h. die Webseite auf der der Surfer gerade vorher war und von der er auf die jeweilige Website "geschickt" wurde. Es werden aber auch die Suchworte übermittelt unter denen diese Website gefunden wurden (Google liefert in dem Verweis auf die Website gleich diese Suchworte mit).

Alle diese so übermittelten Daten werden von kostenlos verfügbaren Programmen wie Webalizer ausgewertet und graphisch dargestellt. Da finden sich dann z.B. Details wie "Detailierte Analyse der letzten 20 Besucher". Dort findet sich die oben erwähnte IP-Adresse, die z.B. aussagt, von welcher Firma aus gesurft wurde.

Darstellung der häufigsten Suchanfragen - für den Betreiber ist jedoch auch eine Auswertung für einzelne IP-Adressen möglich. Viel mehr zum Thema Website-Analyse weiter unten - Stichwort Analytics

Wie solche Nutzerstatistiken dann gezielt ausgenutzt werden können zeigt diese Veröffentlichung auf Wikileaks zum BND. Nachdem Adressbereiche des deutschen Bundesnachrichtendienstes veröffentlicht waren, wurden diese Adressen in Google gesucht und auf diese Weise sieht man dann, dass von einer dieser Adressen auf die Website eines Berliner Escort-Service zugegriffen wurde, dienstlich oder privat, das bleibt offen.

Aktualisierung Februar 2008: Ein Artikel in heise.de berichtet aus Deutschland, dass dort in einer seit März 2007 geltenden Regelung im Telemediengesetz (TMG) Betreiber von Internetdiensten keine personenbezogenen Daten auf Vorrat speichern dürfen. Anlass für den Artikel war eine kräftige Strafandrohung für das Innenministerium für den Fall, dass es die nun eingestellte Praxis der Löschung der IP-Adressen nicht einhält.

Im Xamit Datenschutzbarometer 2008 (pdf) wird aufgezeigt, dass die allermeisten Websitebetreiber sich wenig um Datenschutzregeln scheren und weit mehr Daten sammeln (lassen) als sie zugeben. Die Aktualisierung im Datenschutzbarometer 2009 zeigt, dass sich die Lage in 2009 weiter verschlechtert hat. Der Anteil der Websites die gegen Datenschutzbestimmungen verstoßen ist um 11% gestiegen.

An anderer Stelle beschreibe ich die Unmöglichkeit einer wirklichen Anonymisierung von Daten.

Spezialfall Suchmaschinen

Aber es gibt ja auch noch andere Tricks. Google kennt von vielen seiner Nutzer (z.B. den gmail-Kunden und den Menschen, die ihre übrigen Services nutzen und sich dafür registriert haben) nicht nur die IP-Adresse, sondern viel mehr. D.h. wenn die Suchmaschine von Google die IP-Adresse bekommt, dann braucht diese nur in der Kundendatenbank nachgeschlagen zu werden und schon ist der Suchbegriff mit dem Namen verbunden. Und hier ist beschrieben, was Google noch alles tut.

Hier noch eine Geschichte über AOL, die aufzeigt, wie selbst sauber anonymisierte Protokolle von Suchanfragen zu einem Verlust an Privatsphäre führen können. AOL hatte, um Wissenschaftlern zu helfen, auf einer speziellen Website 20 Millionen Suchanfragen von 657 000 Kunden zur Verfügung gestellt, und zwar in anonymer Form. Die Anfragen sind nach Kunden geordnet, aber IP-Adresse und Name des Kunden wurden durch Nummern ersetzt. Diese Daten sind mittlerweile ausgewertet worden und sie bieten einen guten Überblick, was einzelne Personen so alles gesucht haben. Die erste der Personen ist mittlerweile auch bereits identifiziert und von der Presse angesprochen worden. AOL hat zwar die Website mit den Daten gesperrt, die Liste kursiert jetzt im Internet und es gibt eine Website, wo jedermann in den Daten stöbern kann.

Die Graphik zu den "Datenkontakten", hier noch die Hintergrundzahlen zu der Graphik

Aktualisierung März 2008:
Die NY Times beauftragt comScore mit einer Studie, welches Unternehmen die meisten "Datenkontakte" hat. Damit meinen sie Ereignisse wie "Benutzer ruft eine bestimmte Webseite auf (mit bestimmten Inhalten)", "Benutzer tippt eine Suchanfrage ein", "Benutzer sieht eine Werbung (statisch oder als Video), entweder auf der Website selbst oder auf einer Website, deren Werbeeinblendungen von dieser Firma sind". Dabei ergeben sich die hier dargestellten Rankings. Es zeigt sich, dass die Firmen Yahoo, Google, Time Warner, MySpace die führenden Firmen sind, wenn es um die Möglichkeiten geht, Informationen über das Verhalten von Internetnutzern zu sammeln (und Yahoo hat einen sehr deutlichen Abstand). Und die "alten" Medienfirmen wie die New York Times, die Wochenzeitschriften von CondéNast und auch Amazon, Wikipedia und eBay weit abgeschlagen sind, wenn es darum geht, ganz gezielte zielgruppenorientierte Anzeigen zu verkaufen, weil sie einfach nicht genügend über ihre Nutzer wissen. Dieses Wissen entsteht für die Marktführer durch die breite Kombination mehrerer Angebote (und dabei sind Informationen, die Google durch das inhaltliche Auswerten der Gmail-E-Mails bekommt und die Inhalte in den Profilen auf MySpace und Facebook noch gar nicht mit eingerechnet worden).

Gezielte Werbung und Benutzerprofile

Dieser Vorschlag der Network Advertising Initiative, einer Organisation von Online Werbefirmen, zeigt wie fein die Benutzerprofile aufgebaut werden. So schlagen sie vor, dass es keine Kategorien für AIDS, Krebs und Erektionsstörungen geben soll (damit der Benutzer nicht ständig an dieses Problem erinnert wird), ebenso für psychische Erkrankungen, Abtreibungen und sexuelle Ausrichtungen wie homosexuell, lesbisch, bisexuell, etc.). Auch Opfer von Verbrechen, z.B. Vergewaltigung sollen nicht gezielt beworben werden. Parkinson, Herzschwäche und Warzen sind aber sehr wohl als Kategorien auch für die Firmenmitglieder der Organisation möglich. Ebenso Abhängigkeiten, kriminelle Vorgeschichte, Tod von Angehörigen, Behinderungen, politische oder relgiöse Anschaungen oder Interesse für Gewerkschaftsthemen.

Was dies für mich zeigt ist, wie fein und gezielt wir heute, bzw. in naher Zukunft beworben werden.

Aktualisierung Jan. 2010:
Aus einer Fachzeitschrift ein Trick für anonymes Suchen auf Google: First, do a search for Google on Yauba. (Jetzt kann man in Yauba direkt suchen, aber angeblich sind die Ergebnisse nicht so ergiebig wie bei Google). Und dann kommt der Trick:

Man sucht in Yauba nach Google, beim Suchergebnis das auf google.com zeigt gibt es dann einen Link "Visit Anonymously (slower)". Dieser Link führt dann dazu, dass Yaube als Proxy funktioniert und dass für Google die Anfrage direkt von Yaube kommt. D.h. Google lernt nichts über den Anfrager selbst.

Geolocation Dienste

So genau (oder ungenau) können Sie geortet werden (courtesy von IPligence.com)

Noch ein Trick, den viele Websites nutzen, wenn sie wissen möchten, wo sich ihre Nutzer aufhalten: es gibt sog. Geolocation Dienste. Diese nehmen eine IP-Adresse und geben mit einer Sicherheit zwischen 70% und 90% die Standort-Daten für diesen Rechner an (geographische Länge und Breite, aber auch Stadt, Bundesland, Staat).

Die Treffsicherheit ist sehr unterschiedlich. Wer über den zentralen Zugangsknoten der Firma surft, scheint auch unter dessen Standort auf. Genutzt werden diese Dienste für Marketingzwecke, da kommt es auf einer Fehlerrate von 30% nicht an, sog. "Streuverluste" sind einkalkuliert. Auf diese Weise kommen dann manchmal Angebote wie "Heiße Dates in Herbergsburg" zustande. Hier sind einige Bespiele zum Selbstprobieren: maxmind.com (die auf Wunsch auch die eigene IP-Adresse anzeigen), ip2location.com (auch hier wird die IP-Adresse automatisch ermittelt), GeoBytes.com, ipligence.com (dort wird man sofort mit einer Landkarte begrüßt). Wenn man mehrere dieser Services testet, dann merkt man, dass dies keine exakte Wissenschaft ist. Manche liefern korrekte Ergebnisse, andere liegen ziemlich daneben. Wenn es um das Platzieren von Werbung geht, ist das kein Problem. Wenn auf Grund dieser Daten andere Entscheidungen getroffen werden (Services, die an bestimmten Orten gesperrt sind), so sind solche fehlerbehafteten Angaben problematischer.

Hier noch 2 Beispiele: utrace.de und infosniper.net - na, wie geht werden Sie lokalisiert?

Verraten des Standorts und Wohnorts über Photos

Dies ist potentiell noch dramatischer in den Auswirkungen: Mehr und mehr Smartphones haben auch GPS und speichern den Aufnahmeort in den Meta-Daten von Photos (EXIF-Daten) oder Videos. Wenn diese Fotos dann ins Internet gestellt werden (z.B. über Flickr, oder auf Twitter) und sie eine heimische Idylle zeigen, so ist auch klar klar, wo man selbst und die Kinder zu finden sind. Und wenn im Tweet noch steht, das ich gerade in Urlaub fahre, so ist das eine nette Einladung. Die Website IcanStalkU.com zeigt kontinuierlich wie Menschen über Twitter Fotos hochladen und damit (wissentlich oder unwissentlich) ihre Standorte posten.

Die Website bringt auch Tipps zum De-aktivieren der GPS-Daten im EXIF für iPhone, Android-, Blackberry- und Palm-Geräte.

Quelle: Xamit Studie zu Tracking in D.

Cookies, Flash Cookies, Webpixel, (Google-)Analytics, Fingerprints und andere Tracking Tools

Betreiber kommerzieller Websites, speziell wenn sie mit Werbung Geld verdienen, möchten möglichst viel über ihre Besucher wissen, damit die Werbung gezielt platziert werden kann. Dafür wertet Google die Inhalte der Privatmails auf gmail.com aus, Amazon wertet aus, welche Bücher sich jeder Besucher über die Jahre so angeschaut hat, andere Websites schauen, von welchen anderen Websites die Benutzer kommen. Diese möglichst passende Platzierung der Werbung ist wichtig, weil fast immer die Anzeige nur dann für den Werbenden etwas kostet, wenn der Website-Besucher auf die Anzeige geklickt hat (click-thru), d.h. wenn der Besucher Interesse an der Anzeige hatte.

Wichtig ist für diese Profilerstellung auf jeden Fall, dass ein Benutzer wieder "erkannt" wird, wenn er wieder erscheint (dabei geht es nicht um eine Erkennung mit Namen und Anschrift, sondern nur darum, welchem der vielen gespeicherten (anonymen) Profile dieser Besucher zuzuordnen ist. Dies ist aber recht schwierig, die oben genannte IP-Adresse ist nicht optimal, da viele Internet-Nutzer jeden Tag mit einer separaten IP-Adresse auf der Website "einloggen" (siehe oben).

Ein Trick zur Lösung dieses Problems sind die sog. Cookies. Dies sind kleine Dateien, die eine Website auf dem Rechner eines Websurfer speichern kann. Sie werden beim nächsten Aufruf der gleichen Website, bzw. der gleiche Domain, automatisch wieder abgerufen. Dies bedeutet, dass nur diejenige Website, die den Cookie geschrieben hat, ihn auch wieder lesen kann. Hilfreich sind diese Cookies, wenn der Benutzer sich auf der Website anmelden muss, z.B. um seine Webmails abzurufen. Dann kann die Benutzer-ID des Besuchers im Cookie gespeichert werden. Wenn der Benutzer dann später im Büro wieder sein Webmail abruft, so wird auch dort die gleiche Benutzer-ID gespeichert und der Betreiber hat die Sitzungen an verschiedenen Orten dem gleichen Profil zugeordnet. Dagegen kann der Surfer sich wehren, indem er die Nutzung von Cookies verbietet. Dann gehen aber die meisten Websites nicht mehr, bzw. er muss sich jedesmal auf der Website neu anmelden.

Das Sicherheitskonzept von Cookies besteht darin, das nur auf Cookies zugegriffen werden kann, die diese Website (bzw. einer sog. Sub-Domain dieser Website) geschrieben wurden. Auf diese Weise soll ein Tracking des Benutzers über mehrere Domains verhindert werden (wie dies z.B. von Werbefirmen gewünscht ist). Ein Trick besteht darin, z.B. der Server der Werbefirma als Sub-Domain der Website registriert wird, dies wird jedoch nur selten verwendet, denn es gibt einfachere Methoden.

Third-party Cookies

Wenn Websites Werbefläche auf ihren Seite an andere Firmen vermieten, wie z.B. an doubleclick (im Besitz von Google), dann platzieren diese Firmen für ihre Werbekunden dort Werbung in Form von Graphiken oder Filmchen. Diese Inhalte kommen aber nicht von der Website, die der Benutzer aufgerufen hat, sondern sie werden direkt von der Werbefirma abgerufen z.B. von doubleclick.com. Dafür muss der Browser des Benutzers mit dieser Website Kontakt aufnehmen um die Graphik abzurufen (und zwar ohne dass der Benutzer auf diese Werbung klickt, rein durch die Anzeige der Graphik. Bei dieser Kontaktaufnahme muss auf jeden Fall die IP-Adresse des Benutzers mitgegeben werden (sonst findet die Graphik ja nicht wieder zurück), zumeist wird jedoch auch der sog. Referrer mitgegeben, d.h. auf welcher Seite war der Surfer vorher.

Es werden in vielen Fällen aber noch viel mehr Informationen mitgegeben. Eine Studie On the Leakage of Personally Identifiable Information Via Online Social Networks zeigt, dass viele der Social Networks die interne Benutzer-ID mitgeben, mit deren Hilfe der Werbetreibende in aller Regel auf das Profil (mit Name, Foto und vielen privaten Details) zugreifen kann (außer der Nutzer des Netzwerks hat diese Daten explizit gesperrt, was aber beim Namen fast nie der Fall ist). Und weil manche Benutzer Details wie die Email-Adresse nicht öffentlich zugänglich machen so senden manche der Netzwerke solche Daten ihrer Nutzer beim Abruf von Werbeeinschaltungen automatisch ganz explizit zu den Werbetreibenden (auch wenn dies in den Datenschutzerklärungen oft anders dargestellt wird). Details finden sich in der o.g. Studie.

Zurück zu den Cookies: Bei diesem Abruf der Werbung kann das Werbeunternehmen auch einen Cookie auf dem Rechner ablegen und bei einem zukünftigen Abruf einer anderen Werbung vom gleichen Werbeunternehmen auch wieder abrufen, auch wenn die nächste Werbung dieses Anbieters auf einer ganz anderen Website ist. Und so entsteht ein Benutzerprofil über viele Websites hinweg.

Third-party Cookies lassen sich sehr einfach in jedem Browser sperren. Leider ist das aber nicht die Grundeinstellung der Browser. Mehr zu den Schutzmöglichkeiten weiter unten.

Webpixel und Webbug

Doubleclick (und andere) können verfolgen, auf welchen Websites der gleiche Computer nacheinander aktiv war. Dies kann aber ein Benutzer recht leicht verhindern, indem er im Webbrowser die Nutzung der sog. "Third Party Cookies" sperrt. Dies hat keinen Einfluss auf die Funktionalität. Und deswegen setzen diese Unternehmen einen weiteren Trick ein, Webpixel oder Webbug. Das sind kleine unsichtbare Graphiken (1 pixel x 1 pixel), die nicht auf der Website liegen, auf der der Benutzer surft, sondern beim Werbeunternehmen, z.B. Doubleclick. Wenn der Anwender jetzt zwischen verschiedenen Websites wechselt, die alle ihre Werbung von Doubleclick beziehen, so erscheint in den Logs von Doubleclick jeweils die gleiche IP-Adresse. Jetzt weiß Doubleclick, auf welchen Websites und auf welchen Seiten dieser Sites sich dieser Surfer heute alles herumgetrieben hat.

Dieses Verfahren hat für die Werbenden den Nachteil, dass bei wechselnden IP-Adressen keine durchgehende Profilerstellung möglich ist, aber es gibt eine viel umfangreiche Information über das gesamte Interesse des Surfers. Am besten ist dann, wenn beides kombiniert werden kann, ein Cookie gesetzt und der Benutzer über Webpixel auf seinem Weg durchs Internet ausgespäht werden kann. Dies mag einer der Gründe sein, warum Google die Firma Doubleclick kaufen möchte. Google kennt bisher "nur" das Suchverhalten und die Inhalte aller Mails auf gmail.com, aber mit Doubleclick würde es auch sehen, was diese (bei google oft sogar namentlich identifizierten) Benutzer auf anderen Websites so treiben.

Google sind übrigens nicht die einzigen, die solch ein Tracking einsetzen, sie sind nur eben die größten. Aber Yahoo tut ziemlich genau das gleiche, deswegen wird z.B. bei der Nutzung aller Browser Toolbars, ob von Google, Yahoo, Alexis oder anderen, große Vorsicht angeraten. Alle diese Toolbars versuchen, dem Unternehmen bei der Erstellung von Profilen zu helfen, indem sie Informationen versenden (sofern der Benutzer dies nicht deaktiviert hat).

Analytics Tools

Google setzt noch einen weiteren Trick ein: Scipts. Bei Google nennt sich das Google Analytics, ein kostenloser Service von Google für Websitebetreiber, die mehr über ihre Besucher lernen möchten. Google Analytics sind fertige Javascript "Programme", die Informationen über die Besucher einer Website an die Google Website liefern, wo sie gesammelt und ausgewertet werden und dann dem Betreiber der Website zur Verfügung stehen. Aber natürlich stehen die Informationen auch Google zur Verfügung. Daher sollte ein korrekter Betreiber einer Website in seiner Datenschutzerklärung darauf hinweisen, was aber nach der ganz unten erwähnten Studie nicht mal Bundesbehörden in Deutschland konsequent tun. Es entstehen in den Datenschutzerklärungen sogar explizite Lügen wie "auf dieser Website werden keine Cookies und kein Javascript eingesetzt" - aber Google Analytics wird eingesetzt und das verwendet Javascript und Cookies. Ein Artikel in heise.de berichtet, die Notwendigkeit der Aufklärung in den Datenschutzhinweisen. Mehr zu Google Analytics. (Yahoo bietet übrigens einen ähnlichen Service an, der auch nicht "privatsphäre-schonender" ist.)

Für den Experten: Schutzmöglichkeiten
Es gibt noch eine Möglichkeit, sich gegen das Ausspionieren (und die optische Belästigung durch einen großen Teil der Werbung zu wehren: den Hosts-File Trick. Dabei wird die auf Windows Rechnern genutzte HOSTS-Datei dazu verwenden, bekannte Werbeserver zu blockieren, indem diese Adressen, z.B. "ad.doubleclick.net" als Alias für 127.0.0.1 eingetragen werden. Ich verwende diesen Trick und habe mir dafür eine fertige, sehr große Hosts-Datei aus dem Web geladen. Jetzt kommt bei vielen Website anstatt der Werbung ein Text wie "Firefox can't establish a connection to the server at ad.doubleclick.net". Das ist aber ein Trick, den ich bei meiner Großmutter nicht installieren würde, die Fehlermeldungen (siehe oben) könnten verwirren und wenn im Internet "nichts mehr geht" sollte man wissen, dass der Grund auch in dieser Hosts-Datei liegen könnte.

Ebenfalls für Experten die z.B. Werbung, Cookies, Javascripts gezielt blockieren wollen: Privoxy, eine lokaler Proxy auf dem eigenen Rechner. Zitat "Privoxy is a web proxy with advanced filtering capabilities for protecting privacy, modifying web page data, managing cookies, controlling access, and removing ads, banners, pop-ups and other obnoxious Internet junk". Dieses Programm schaltet sich zwischen den Browser und das Internet und kann gezielt konfiguriert werden um ganze Websites, oder auch nur Javascripts, Cookies oder Bilder gezielt zu blockieren oder durch etwas Neutrales zu ersetzen. Auf diese Weise kann man den Websites das Tracking erheblich erschweren.

Für den Experten: Juristisches
Xamit weist in ihrer Studie auf folgende juristische Situation (in D.) zum Tracking hin:

Nutzungsdaten, d.h. Bewegungsprofile, dürfen „für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien“ (§15 Abs. 3 TMG) verwendet werden, wenn diese mit Pseudonymen arbeiten und der Besucher nicht widersprochen hat. Auf das Widerspruchsrecht muss der Besucher explizit hingewiesen werden.
Nach §15 Abs. 3 TMG dürfen personenbezogene Angaben, die bspw. für die Nutzung eines Angebots, einer Bestellung oder eine Kontaktaufnahme erhoben werden, nicht mit einem Bewegungsprofil zusammengeführt werden. Der Betreiber muss dies technisch und organisatorisch sicherzustellen (§13 Abs. 4 Nr. 6 TMG). Google löscht die Bewegungsprofile nicht, so dass auch zukünftige Auswertungen mit Personenbezug nach Googles Ermessen möglich bleiben. Haftung und Verantwortung bleiben indes beim Betreiber als Auftraggeber.

Flash Cookies

Ganz aktuell (2009): Flash Cookies. Erfunden von Adobe, die den Flash-Erfinder Macromedia aufgekauft haben. Dies sind ebenfalls Tracking Objekte auf dem eigenen Rechner, aber nicht sichtbar innerhalb des Browser und mit viel mehr Rechten. Sie können diese sog. Local Shared Objects (LSO) sogar Kamera und Mikrofon aktivieren. Sie können nur über spezielle online Flash Setting Screens auf der Website von Adobe Flash kontrolliert werden. Da steht z.B. im Global Privacy Settings Panel etwas vom Zugriff auf Kamera und Mikrofon des Rechners, ich denke, da sollte man "always deny" anklicken.

Solche Flash Cookies werden u.a. von den Werbefilmchen gesetzt, die auf den Webseiten nerven. Ich habe einiges an den Settings verstellt, Third Party Flash Cookies sollte man wohl auf jeden Fall abdrehen, die dienen ganz sicher nur der Profilerstellung durch Werbetreibende. Ich habe auch sonst noch einiges an den Settings verstellt und die Flash Cookies vollkommen verboten (u.a. maximale Größe 100 KB). Ergebnis ist, dass ich beim Abspielen Filmen jetzt oft gefragt werde, ob ich die Speicherung von Flash Cookies erlaube, meine Antwort ist dann "deny" und der Film läuft ganz normal weiter.

Wie das Wallstreet Journal (siehe oben) berichtet, werden sehr oft diese Flash Cookies genutzt, um sich gegen Benutzer zu wehren, die am Ende von Web-Sitzung die normalen Cookies löschen (lassen), aber die vergessen, dass die Flash-Cookies davon nicht betroffen sind. Die Daten in den Flash Cookies können dann bei der nächsten Sitzung dafür genutzt werden, um die gelöschten Cookies wiederherzustellen.

Device Fingerprinting

Aktualisierung Juli 2010: Die US-Bürgerrechtsorganisation EFF (Electronic Frontier Foundation) hatte letztes Jahr eine Website Panopticlick ins Netz gestellt. Dort kann jeder Besucher testen, wie eindeutig die Konfiguration SEINES Browsers ist. Das Ergebnis der Untersuchung (pdf) von 470 000 Besuchern war, dass 83% aller Browser nur auf Grund der Browser-Charakteristika eindeutig erkannt werden konnte (Hier die Meldung die ich selbst bekomme: "Your browser fingerprint appears to be unique among the 1,072,341 tested so far").

Dieses sog. "Device Fingerprinting" ist keine verspielte Theorie, eine Reihe von Firmen bietet diese Technologie aktiv an, z.B. Arcot, 41st Parameter, ThreatMetrix und Iovation. Die Möglichkeiten reichen vom Wiedererkennen eines Angreifers bis zu Marketing. Iovation sagt, dass sie in ihrer "reputation database" die Fingerprints von über 1 Million PCs gespeichert haben die irgendwann mal mit unerwünschten Aktivitäten aufgefallen sind.

Wie funktioniert Device Fingerprinting: Browser senden an Websites eine Reihe von Eigenschaften freiwillig und aktiv (z.B. den Typ des Browsers, für mich "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3 GTB7.0"). Viele andere Eigenschaften eines Rechners können über Javascript ausgelesen werden, z.B. die Bildschirmauflösung, die Zeitzone, und vor allem, welche Browser-Plugin Versionen und welche Fonts im Rechner installiert sind. Speziell die letzten beiden Informationen geben extrem viel Informationen preis, an denen der Rechner erkannt wird. Dies kann dann noch mit der IP-Adresse kombiniert werden, die heute für die Mehrheit der Internet-Nutzer konstant ist. Ganz schlecht werden Firmenrechner erkannt wenn diese alle über die gleiche IP-Adresse reinkommen und vollkommen einheitlich installiert und gepatcht sind. Dann stimmen Fonts und Plugin-Versionen identisch überein.

Wie kann man sich dagegen schützen? Nur sehr schlecht. Das Abdrehen von Javascript verhindert die meisten dieser Erkennungstricks. Aber es gibt nur wenige Websites, die dann noch vernünftig funktionieren. Und einige der möglichen Tricks sind kontraproduktiv, wenn sie nur von wenigen angewendet werden. So gibt es einen "privacy enhancing Browzar" der aber nur 7 mal auf panopticlick gesichtet wurde und daher recht eindeutig ist. Andere Browser wurden daran erkannt, dass der Browsertyp bewusst geändert wurde. Aber dann entstehen Situationen, dass ein IE der sich als FF verstecken will ActiveX unterstützt und damit sehr klar identifiziert wird; oder ein vorgeblicher iPhone-Browser, der aber Flash unterstützt. Als sinnvoll haben sich bei diesen Tests TorButton und NoScript erwiesen.

Diese Techniken sind für Werbetreibende die Profile anlegen wollen, eine sehr angenehme Ergänzung zu den Cookies. Wenn nämlich der Benutzer, z.B. 1x die Woche, die Cookies löscht so kann das Tracking-Unternehmen beim nächsten Besuch des "Benutzers ohne Cookie" in seiner Fingerprint-Datenbank nachsehen ob dieser PC nicht vielleicht doch bereits bekannt ist und den gelöschten Cookie wiederherstellen. Umgekehrt kann über die Permanenz des Cookies nach einer Aktualisierung des Browsers und der Plugin-Versionen der Fingerprint auf den neusten Stand gebracht werden. Und falls der Benutzer bei der Browser-Aktualisierung auch gleich die Cookies löscht, so greifen viele dieser Firmen heute auf sog. "Supercookies" oder Flash-Cookies zurück, die bereits weiter oben beschrieben wurden. Diese Flash-Cookies müssen nämlich separat gelöscht werden und das wird vermutlich zumeist nicht durchgeführt.

Spuren beim Internet-Provider

Soweit erst mal nur die Endstelle der Kommunikation, der Webserver. Auf dem Weg zum Webserver werden die Daten aber von vielen anderen Stellen weitertransportiert, die für unsere Betrachtungen wichtigste ist der eigene Internet-Provider. Bei diesem laufen alle Datenpakete durch und hier gibt es eine zentrale Möglichkeit zur Protokollierung des Datenverkehrs. Daher ist dies die ideale Stelle wenn Behörden (oder jemand anders, siehe die Abhörskandale in Griechenland und in Italien) den Datenverkehr abhören will.

Die Daten des Telefon- und Internet-Providers sind deshalb das Thema der sog. Vorratsdatenspeicherung in Europa. Denn bisher besagte das Fernmeldegeheimnis, dass solche Protokoll-Daten nur soweit aufgehoben werden dürfen, wie sie zur ordnungsgemäßen Rechnungsstellung dienen und sie dürfen maximal so lange aufbewahrt werden, bis mögliche Einsprüche gegen die Rechnung nicht mehr möglich sind. Jetzt sollen die sog. Verkehrsdaten (d.h. wer hat wann mit wem kommuniziert?) für Strafverfolgungszwecke (Stichwort Terrorismus) viel länger aufbewahrt werden und den Behörden auf Abruf zur Verfügung stehen. Weiterhin verboten ist die Speicherung der Inhaltsdaten, z.B. der Inhalt von E-Mails, SMS oder Telefongesprächen, anderseits sind die Suchstichworte bei Google Teil der URL, d.h. Teil der Verkehrsdaten).

In den USA ist ziemlich bald nach 9/11 bei vielen Internet Providern eine spezielle Hardware der Firma Narus (NarusInsight) installiert worden, die eine systematische Durchforstung das gesamten Datenverkehrs, d.h. auch der Inhalte, nach Stichworten ermöglicht und das mit sehr hoher Geschwindigkeit und in "real-time". Dass dies ohne richterlichen Bechluss passiert ist, hat bei vielen Amerikanern einige Aufregung verursacht, anderseits wird diese Praxis vermutlich jetzt bald legalisiert. Hier noch einige Hintergründe zum Abhören.

Eingehende Emails sind ein weiteres Gebiet, wo möglicherweise vertrauliche Daten beim Internet-Provider vorliegen (auch aus diesem Grund sollten wirklich vertrauliche Informationen immer nur verschlüsselt versendet werden, z.B. mit dem kostenlosen PGP). Diese Emails werden vom Internet-Provider auf sog. SMTP-Servern zwischengespeichert, bis sie dort vom Emailprogramm des Nutzers über das POP-Protokoll (oder in Ausnahmefällen IMAP) abgerufen werden. Das lokale Email-Programm kann dabei vorgeben, ob die abgerufenen Emails auf dem Server des Providers verbleiben sollen. Ausgehende Emails werden beim Provider nicht gespeichert.

Behavioral Targetting durch Internet-Provider

Leider notwendige Aktualisierung März 2008: Die Firma Phorm meint, dass die Tatsache, dass der gesamte Internetverkehr durch die Netze der Internet-Providers führt, doch eine Goldgrube sei, die bisher vollkommen ignoriert wurde. Sie haben es geschafft, in England Verträge mit 3 Providern abzuschließen (u.a. British Telecom, BT) die zusammen 70% des privaten Datenverkehrs durchschleußen. Und diesen Datenverkehr wird Phorm zwecks Profilierung von Internetnutzern zu Werbezwecken auswerten. Die Kunden dieser 3 ISPs sollen die Möglichkeit erhalten, aus dieser Datenschnüffelei auszusteigen, wie das im Detail aussehen wird, ist noch offen. - Zum Hintergrund: Phorm ist eine Umbenennung der Spyware-Firma 121Media, die jetzt versuchen, auf einem legalen Weg an die Informationen über das Surfverhalten der Internetnutzer zu kommen. Und es scheint fast so, als ob es klappen könnte.

Aber Phorm sind nicht die einzigen, die so etwas in Arbeit haben. Die Firma NebuAd hat ebenfalls Verträge mit einer Reihe von ISPs in den USA. Eine weitere Firma, die auf diesem Gebiet aktiv ist, ist FrontPorch. Der Chef von NebuAd erklärt hier das Konzept. Wenn die Überwachungsssoftware merkt, dass der Nutzer nach einem bestimmten Begriff sucht, oder gar auf eine Werbung in Adwords klickt, so bekommt er beim nächsten Besuch einer Partnerwebsite des Überwachungsunternehmens genau solche Anzeigen gezeigt. Hier ein Artikel zum Stand des Behavioral Targeting durch Internet-Provider in den USA.

Inhaltlich stellt dies eine deutliche Steigerung des Eingriffs in die Privatsphäre dar. Das Unternehmen behauptet zwar, dass sie Suchanfragen und besuchte URLs nicht speichern, sondern nur für die Bildung eines Interessenprofils des Nutzers auswerten, d.h. sie setzen z.B. den Zähler "Autointeresse" um 1 hoch, wenn jemand auf einer Automobilwebsite war, nach einem Autothema gesucht hat oder einen Artikel einem Autothema gelesen hat. Dieses Profil wird in einer Datenbank gespeichert und dann mit einem Cookie auf dem Rechner das Nutzers verknüpft. Aber es setzt natürlich viel Vertrauen voraus, das Unternehmen beim Surfen über die Schulter schauen zu lassen, auch wenn sie versprechen, alles sofort wieder zu vergessen. Die Allgemeinen Geschäftsbedingungen können geändert werden, bzw. staatliche Stellen können Interesse bekommen, auf diese Daten zuzugreifen, indem sie eine Gesetzesänderung wie die jetzige zum Sicherheitspolizeigesetz einführen.

Mit dem Trick den gesammten Verkehr abzuhören hat das Unternehmen nicht nur Zugriff auf die Suchanfragen bei 1 Suchmaschine, sondern gleich bei allen. Und außerdem sehen wie, auf welchen Seiten der Nutzer noch war und bei welchen Banken er oder sie eBanking nutzt, und, und, und.

Und wie schnell einmal gesammelte Daten dann auch genutzt werden zeigt der Fall von YouTube.

Spuren auf dem Rechner des Internetnutzers

Die letzte Stelle, wo Spuren vom Internet-Surfing verbleiben, ist der Rechner selbst. Dort speichert jeder Browser eine sog. History und er verwendet einen sog. Cache zum Speichern der Inhalte und Bilder, die er einzeigt. Durch den Cache soll vermieden werden, dass bei einer Rückkehr zu einer eben gerade betrachteten Seite die Inhalte alle wieder aus dem Internet abgerufen werden müssen.

Mittlerweile haben alle Webbrowser Funktionen, z.B. unter "Extras" oder unter "Tools", die ein Löschen solcher Daten erleichtert. Manchmal kann man dabei einstellen, was alles gelöscht werden soll. Ein Löschen aller Cookies führt z.B. dazu, dass man sich bei allen Websites, z.B. Zeitungen oder Amazon, bei denen man nur nach einer Registrierung Zugriff hat, wieder mit Benutzername und Passwort anmelden muss.

Zu diesem Thema siehe auch die Diskussion zum Bundestrojaner.

Eigenhändig erzeugte Spuren und Reputation Management

Das waren bisher jetzt Spuren, an deren Erzeugung wir nicht bewusst mitgearbeitet haben. Dieses Kapitel behandelt jetzt Spuren, die wir selbst gelegt haben. Ich spreche von den Informationen, die wir auf Social Networking Sites (viel mehr dazu auf meiner anderen Website, siehe Link), wie z.B. MySpace, Friendster, Facebook, StudiVZ, SchülerVZ, Xing, LinkedIn, schulfreunde.de, schulfreunde.at, stayfriends.de, klassenfreunde.at, klassentreffen.at selbst eingegeben haben. Der Trend geht zu ständig steigender Transparenz, anscheinend ist dies vom (hauptsächlich jüngeren) Publikum so gewünscht. Jetzt hat sogar die Business Networking Website Xing eine Feature aktiviert, dass alle eigenen Kontakte über jede Änderung sofort informiert werden, z.B. wer hat wen eben gerade als Kontakt hinzugefügt. Zu den Risiken der Social Networks gibt es einen separaten Artikel.

Andere Websites auf denen wir Privates abspeichern sind z.B. die Photosharing Websites, z.B. flickr.com, Picasa Web Albums, Sevenload.de, fotolog.net, oxp.de oder Spezialsites wie baby-boom.at, babyphotos.at, und die Videosharing Websites wie YouTube und viele andere. Selbst wer nicht selbst von sich da etwas hochlädt, dem kann aber trotzdem passieren, dass ein Freund das tut und vielleicht als Bildunterschrift den vollen Namen angibt.

Leider ist oft nicht ganz klar, wer auf solche Informationen zugreifen kann, ob nur Mitglieder, nur die eigenen "Freunde", "Kontakte", "Buddies" oder jeder, d.h. auch Firmen, die die Informationen für eine Profilerstellung ausnutzen. Das hängt nämlich vom Kleingedruckten der Datenschutzerklärung (Privacy Policy) ab. Da kann man dann durchaus überrascht sein, wenn Einträge von schulfreunde.de auf einmal in Google angezeigt werden.

Datenschutzerklärungen sind ein Kapitel für sich. Oft sind sie trickhaft formuliert und sagen nicht wirklich aus, was der Dienstanbieter mit den Daten wirklich vorhat. Natürlich hat er möglichst viel vor, der Wert der Daten, die die Benutzer eingeben sind ein wichtiger Grund, warum solche Services kostenlos angeboten werden. Dies bedeutet nicht (unbedingt), dass die Daten direkt weiterverkauft werden, obwohl auch dies möglich ist. Da stehen dann z.B. Formulierungen dahingehend, dass "die Daten nicht den DB-Konzern verlassen, garantiert nicht an Dritte weitergehen" (siehe Deutsche Bahn [Big Brother Award 2007]. Damit ist gemeint, dass die Daten im Unternehmen Loyalty-Partner, die jedoch auch Bonuspunkte für andere Unternehmen verwaltet, also die Daten auch für Nicht-Bahn Zwecke verwenden kann.)

Sehr oft stimmt man aber bei der Anmeldung zu, dass die Daten "an Partnerunternehmen weitergegeben werden können", bzw. dass man bereit ist, "E-Mail von Partnerunternehmen" zu erhalten. Und Partnerunternehmen sind im Zweifelsfall alle, die genügend Geld für die Daten zahlen. In den anderen Fällen werden die Daten zwar nicht direkt weitergegeben, aber die Inhalte dienen oft als Grundlage für eine gezieltere Platzierung von Werbung.

Was wirklich über Sie im Netz zu finden ist, finden Sie nur durch eine direkte Suche heraus. Gehen Sie auf google und suchen Sie nach "Vorname Nachname" (die Gänsefüßchen sind wichtig, sonst werden sehr viele falsche Einträge gefunden.

Hier der Link zu meinem ausführlichen Artikel zu Social Networking und Privatsphäre. Dort gibt es auch einen Abschnitt, der im Details erklärt, was beim vorsichtigen Umgang mit solchen Netzwerken zu beachten ist, für Privatleute und auch Firmen: Wie stelle ich meinen Account bei Xing and LinkedIn sicher ein.

Spock.com

Kennen Sie spock.com? Zumindest wer in LinkedIn angemeldet ist oder wer eine eigene Website unterhält, ist auch dort zu finden. Spock.com trägt automatisiert Informationen über alle Personen zusammen, die sie im Internet finden, Fehler sind dabei natürlich auch leicht möglich. Wer im Internet in einem Forum beschimpft wird, von dem sammelt spock.com auch diese Beschimpfung und generiert entsprechende Such-Tags. Wer will, kann sich selbst auf spock.com registrieren und hat dann mehr Möglichkeiten, auf sein dortiges Profil Einfluss zu nehmen.

Ähnlich funktioniert übrigens auch 123people.com. Suchen Sie sich doch einfach mal selbst, Sie werden bestimmt eine Überraschung erleben.

Damit sind wir beim Thema Reputation management. Dabei geht es darum, dass man versucht, eine Kontrolle darüber zu bekommen, wie man (oder frau) im Internet bei einer Internetsuche aufscheint. Wenn da z.B. Fotos auf einer Foto-Websites sind, die zu später Stunde bei einer wilden Party gemacht wurden oder ähnliche Sachen, die bei einer späteren Bewerbung schädlich sein könnten, dann gibt es Firmen, die darauf spezialisiert sind, diese wieder löschen zu lassen, oder wenn dies nicht möglich ist, durch andere (selbst erstellte) Beiträge auf anderen Websites bei den Ergebnissen der Suchmaschinen auf die hinteren Seiten zu verdrängen.

Hier eine Website eines US-Anbieters für Reputation Management Visible Technologies. Diese Firma wertet täglich alle wichtigen Blogs und Social Network Seiten in sehr vielen Sprachen der Welt aus und stellt für ihre Auftraggeber (Firmen, aber auch Spionage- und Überwachungsbehörden) Berichte nach den jeweils gewünschten Stichworten zusammen. In-Q-Tel, der Investmentarm der CIA hat sich gerade mit einer größeren Summe am Unternehmen beteiligt.

Social Networks sammeln auch Daten über Nicht-Mitglieder

Auf meiner Seite über Social Networks und Privatsphäre gibt es jetzt auch einen Beitrag zu Diensten wie Friend Finder von Facebook. Das gespenstische daran ist, dass dort auch Daten über Nicht-Mitglieder gesammelt werden.

Vorsicht bei Nick-Names

Viele Websites bei denen die Benutzer eigine Texte oder Kommentare eingeben können, z.B. die vielen Foren, aber auch amazon, fast alle Zeitungen, etc., bieten die Möglichkeit, unter einen sog. Nick-Name aufzuscheinen. Man könnte meinen, dass damit die Anonymität meiner Beiträge gewährleistet ist.

So einfach ist jedoch leider das Leben im Internet nicht. Da gibt es eine ganze Reihe von Fallen, die dazu führen können, dass sehr wohl ersichtlich ist, wer einen Beitrag geschrieben hat. Hier ein Beispiel: Ich hatte eine Weile unter dem eigenen Namen bei amazon Bücher kommentiert, aber dann wollte ich lieber unter einen Pseudonym aufscheinen. Und auf den ersten Blick klappt das auch, man ändert seinen Nick-Name auf einen neuen der keinen Hinweis auf die Identität verrät, schreibt seinen Kommentar und der erscheint unter dem neuen Name. Aber leider gibt es den Button "alle Beiträge dieses Autors". Dieser Button führt dann den neuen Nick-Name und den ursprünglichen Namen zusamnmen und die Anonymität ist geplatzt. Das ist mir auch bei einer Zeitung passiert.

Eine andere Falle besteht darin, dass man den gleichen Nick-Name auf mehreren Websites nutzt. Google führt diese Beiträge dann sehr schön zusammen und schon aus der Zusammenstellung der Themen können sich Hinweise ergeben. Und wenn eine dieser Websites dann irgendwo eine E-Mail-Adresse mit dem Nick-Name verlinkt und das die normale E-Mail-Adresse des Benutzer ist, dann ist die Anonymität sicher geplatzt.

Aber es gibt noch mehr Fußangeln: Wenn es auf der Website die Möglichkeit gibt, sich selbst einen Avatar zu gestalten, so kann dieser Hinweise auf die Identität verraten. Auch spezielle Grußformeln (z. B. Salve) oder gleiche Signaturen haben auch einen großen Wiedererkennungswert. Ebenso können Hinweise auf eine bestimmte Region, in Verbindung mit einer wiedererkennbaren Familiensituation oder auch ein besonderer Schreibstil die Anonmität aufheben.

Wichtig: Wenn bei einem Forum Ihre Anonymität wirklich wichtig ist, so müssen Sie einen Nick-Name verwenden, der Sie auf keiner anderen Website verwendet haben. Und als E-Mail-Adresse für diese Website sollten Sie ebenfalls eine neue kreieren, die keinen Hinweis auf ihre wirkliche Identität zulässt (gmx, gmail oder ähnliches). Falls Sie auf der gleichen Website früher bereits nicht-anonym aktiv waren, sie kreieren Sie vorsichtshalber einen ganz neuen Account ohne Verknüpfung mit ihrer vorigen Aktivität. Letztendlich müssen Sie sich komplett neu erfinden, mit einer anderen Wohnregion, einer anderen Familiensituation und mit einem anderen Schreibstil. Eine wirklich sichere Anonymität herzustellen ist harte Arbeit.

Software-as-a-Service (SaaS) Spuren

SaaS bezeichnet die Nutzung von Anwendungen die nur im Web zur Verfügung stehen, wie z.B. Webmail. Mittels Technologien wie AJAX können heute auch andere Anwendungen sinnvoll angeboten werden. Beispiele sind die Kundenverwaltungssoftware von salesforce.com oder die Office Anwendungen, die google online zur Verfügung stellt. Dabei werden die Anwendungen mittels Webbrowser gestartet, die Anwenderdaten werden zumeist bei dem Serviceanbieter gespeichert. Was dort mit denen passiert, das regelt die jeweilige Datenschutzerklärung.

Einiges zum Thema kreative Privacy Policies findet sich auch unter dem Stichwort Google. Google schlägt mit ihrem Gmail-Service ganz gezielt den Benutzern vor, möglichst alle ihre Emails auf den Google-Servern zu speichern. Sie werten die Inhalte dieser Mails (zusammen mit der Geschichte aller Suchanfragen dieser Person) aus, um gezielt Werbung platzieren zu können, die zu den im Email angesprochenen Themen passt. In manchen Fällen von SaaS-Anbietern ist nicht immer ganz klar, wer der Besitzer der Daten ist (z.B. bei Photosharing Sites).

Alle vertraulichen oder persönlichen Daten, die extern gespeichert werden, sind automatisch außerhalb der eigenen Kontrolle und erwecken Begehrlichkeiten. Strafverfolgungsbehörden greifen über Richterbeschluss regelmäßig darauf zu (mit oder ohne Kenntnis der Betroffenen). Auch die Mitarbeiter solcher Services kommen manchmal in Versuchung, ein wenig in den Daten zu stöbern. Und außerdem versuchen Angreifer immer wieder, in diese Rechner einzudringen und dort Informationen abzuziehen.

Ein weiterer Problempunkt in Bezug auf Datenschutzerklärungen und Vertraulichkeit von Daten sind Konkurse. Datenschutzerklärungen gelten für das Unternehmen selbst. Nach einem Konkurs werden die Daten, so wie alles andere, was noch verwertbar sein könnte, vom Konkursverwalter übernommen. Und dessen Interesse sind nicht die ehemaligen Kunden eines Services, sondern die Schuldner, die ihr Geld wiederhaben wollen. D.h. er wird in vielen Fällen die Daten meistbietend verkaufen. Einiges zum Thema kreative Privacy Policies auch unter dem Stichwort Google, die sehr gut im gezielten Platzieren von Werbung sind.

Schutzmöglichkeiten gegen Tracking

Wirklich anonmyes Surfen ist nicht einfach und erfordert Anonymizer wie weiter oben beschrieben. Aber es ist recht leicht, das Anlegen von website-übergreifenden Profilen zu verhindern. Wer alles Profile von Ihnen anlegen möchte finden Sie bei der Networking Advertising Initiative. Hier gibt es Opt-Out Möglichkeiten (dabei wird ein Cookie gespeichert, der besagt, dass Sie kein Tracking möchten, aber das ist ja auch schon wieder eine Profil-Information und es gibt bessere Tricks). Diese Tricks verhindern aber nicht, dass einzelne Websites wie z.B. Amazon ein Profil über sie anlegt.

Es gibt Möglichkeiten, sich ihre Profile bei den Trackingfirmen anzusehen. Hier kommen die URLs:

• http://www.google.com/ads/preferences/ zeigt ihr Profil bei Google / Doubleclick
• https://choice.live.com/UserPreferences erlaubt Benutzern von Hotmail oder Windows Live ID eine Selektion von Interessen oder ein Opt-Out
• http://privacy.yahoo.com/aim zeigt das Profil ein und erlaubt ein Verändern des Profils
• http://tags.bluekai.com/registry zeigt das Profil und erlaubt Veränderungen
• http://www.exelate.com/new/consumers-optoutpreferencemanager.html erlaubt eine Selbstbeschreibung oder Opt-Out
• http://www.lotame.com/preferences.html zeigt das Profil und erlaubt Veränderungen

Ich persönlich habe nirgendwo dort ein Profil, denn ich verwende folgende Techniken:

1. ich erlaube keine Third-Party Cookies, das lässt sich sehr einfach in den Einstellungen jedes Browsers spezifizieren und ist ohne jede Nebenwirkung
2. ich verwende Ghostery als Plugin im Firefox. Ghostery zeigt mir, welche Tracking Firma sich da um mich bemüht und erlaubt dann ein gezieltes Sperren dieser Aktivitäten
3. ich verwende einen hosts file der die IP-Adressen aller Werbefirmen und Tracker sperrt (hier mehr Infos dazu) - (Dieser Trick ist aber nichts für PC-Laien, man sollte wissen, was man da tut sonst kann es überraschende Nebenwirkungen geben - so muss man z.B. den DNS-Service anders konfigurieren). Wer diesen Hosts File verwendet bei dem meldet sich Adblock gar nicht mehr.

Außerdem haben die modernen Browser noch einen Modus für Private-Browsing. Wenn der Anwender in diesen Modus wechselt, so löscht der Browser am Ende der Private Browsing-Sitzung die History (Verlauf), etwaige Cookies, Einträge in den Cache, etc. D.h. diese Sitzung hinterlässt auf diesem PC keine Spuren. Dieser Schutz dient fast ausschließlich dem Schutz gegen Mitbenutzer des gleichen Rechners, die evtl. neugierig sein könnten, dieser Modus macht den Benutzer NICHT im Internet anonym. Als Nebeneffekt verschwinden auch Tracking Cookies, die in dieser Sitzung angelegt wurden. - Soweit die Theorie. Test haben leider ergeben, dass das nicht so ganz stimmt: Private-Browsing-Modus schützt nur unzureichend. Eigentliche alle Browser haben bei der Implementierung Schnitzer gemacht und keine der Implementierung arbeitet wirklich zuverlässig (d.h. hinterlässt gar keine Spuren auf dem PC, nur im Internet selbst).

Das WSJ hat eine Anleitung zur Kontrolle der Privatsphäre für Internet Explorer, Firefox, Chrome Safari und für Flash Cookies zusammengestellt.

Weiterführende Informationen

Das Thema ist Teil der größeren Problematik Schutz der Privatsphäre, die an anderer Stelle ausführlich diskutiert wird. Ebenso das Spezialthema . Weitere Information auch in der Wikipedia unter Anonymität im Internet.

Hier ist eine sehr interessante, umfangreiche Studie der Firma Xamit. Sie haben untersucht, welche Tracking-Technologien Website-Betreiber einsetzen und ob sie ihre Kunden darüber informieren (PDF, 1,5 MB). Die kurze Antwort: jede Menge Tracking und in der Regel heimlich, d.h. sehr oft lügen die Firmen dann in ihrer Vertraulichkeitserklärung - Stichwort, bei uns werden keine Cookies und keine JavaScript verwendet. Zumeist wird dabei Google Analytics eingesetzt, das sehr wohl beides einsetzt und die Daten in die USA exportiert. Dazu hat sich auch die EU-Datenschutzarbeitsgruppe geäußert.

Philipp Schaumann, http://sicherheitskultur.at/

Home

Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann.
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.